Threat Actors Impersonate Fake Docusign Notifications To Steal Corporate Data
2025/05/28 CyberSecurityNews — 近ごろ、人気の電子署名プラットフォームである DocuSign を悪用し、企業の認証情報や機密データを盗み出す、巧妙なフィッシング攻撃が増加している。DocuSign が抱えるユーザーには、Fortune 500 企業の 95% と、全世界の 160万社の企業、10億人以上の人々が含まれる。そのため、この広く認知されたブランドに対する信頼を悪用する脅威アクターにとって、きわめて魅力的な攻撃経路となっている。
攻撃者は、DocuSign の外観を装うことで、ユーザーの警戒心をすり抜ける。この攻撃の急増は、ソーシャル・エンジニアリング手法の進化を物語っている。
この攻撃は、DocuSign を模倣する偽メールから始まる。そのメールには、日常の業務でユーザーたちが見慣れている、黄色の “review document” ボタンが取り込まれている。
Welivesecurity のアナリストによると、いまのフィッシングは、すべてのデータ漏洩インシデントの 19%で初期侵入の手段となっており、そのうち 60% は人為的な要因が関係している。このことから、DocuSign を装う攻撃は、特に効果的であると指摘されている。
この攻撃の影響は、単なる認証情報の窃取に留まらない。攻撃に成功した脅威アクターは、企業ネットワーク内での足がかりを確保し、特権昇格/横方向への移動を経て、最終的にはデータ漏洩やランサムウェア展開を引き起こすとされる。
最近の事例において、攻撃者は単に偽メールを作成するだけではなく、実際に正規の Docusign アカウントを登録し、同プラットフォームの API を悪用し、人気のブランドや企業を装う本物のエンベロープを送信するなど、その手口の高度化が確認されている。
正規のインフラを悪用する高度な手法
DocuSign をテーマにした攻撃の中で、最も懸念される進化は、メールの偽装だけではなく DocuSign の正規のインフラ自体を悪用するという点にある。
脅威アクターは正規の Docusign アカウントを登録して、同プラットフォームの API を悪用し、公式に認証されたチャネルを通じて、悪意のコンテンツを配布し始めている。
.webp)
この手法により、セキュリティ・システムは、正規のビジネス通信とフィッシング試行の判別が難しくなり、検知が大幅に困難になる。というのも、いずれのメールも、認証済みの DocuSign サーバから送信されるからだ。
一連の攻撃では、正規の DocuSign 添付ファイル内に QR コードが仕込まれており、被害者はスマートフォンでコードをスキャンするように誘導される。つまり、数多くのモバイル・デバイスにおいては、十分なセキュリティ対策が施されていないため、必然的にリスクが高まることになる。
こうした QR コードをスキャンすると、被害者は Microsoft のログイン・ページや、他の企業認証ポータルを模倣する、フィッシング・サイトへとリダイレクトされる。そこで収集された認証情報が、その後のネットワーク侵入で悪用される。
信頼されているインフラの悪用と、モバイル・デバイス標的化を組み合わせる、この“二重の攻撃手法”は、現代の企業セキュリティの盲点を的確に突く、きわめて高度な戦術だと言える。
それぞれのユーザーが大切にしている DocuSign アカウントだからこそ、真摯に対応しようとするユーザーが被害に遭ってしまうという、とても皮肉な結果が生じているようです。それは、DocuSign に限らず、たとえばバンキングなどのアカウント対しても言えることだと思えます。大切なアカウントだからこそ、あえてメールは見ずに、気になったら Web にログインするといった、対策も必要なのかもしれませんね。よろしければ、Phishing で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.